机关各处室:
为进一步实现监管科学化、专业化,有效防范和化解风险,促进保险业持续快速健康协调发展,我局制定了《保险公司分支机构内部控制评价办法》(试行),现予印发。请各处室认真组织学习,并结合实际情况贯彻落实。
二○○五年五月二十七日
附件:保险公司分支机构内部控制评价办法(试行)
第一章 总 则
为规范和加强对商业保险公司内部控制的评价,促使其进一步建立内部控制体系,健全内部控制机制,防范保险风险,保证保险市场的健康、稳定、持续发展,根据《中华人民共和国保险法》、《保险公司管理规定》、《保险公司内部控制指引》等法律法规, 特制定本办法。
保险公司分支机构内部控制评价是指对保险公司分支机构内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。
评价的主要目标包括:促使保险公司严格遵守法律法规和审慎经营、提高风险管理水平以保证其发展战略和经营目标的实现;促进保险公司增强业务、财务和管理信息的真实性、完整性和及时性;促进保险公司各级管理者和员工强化内部控制意识、严格实施各项内控措施、确保内部控制体系有效运行。
内部控制评价主要从充分性、合规性、有效性、适宜性四个方面进行。
第二章评价内容
内部控制评价包括过程评价和效果评价。
过程评价是对内部控制环境、风险识别与评估、风险控制活动、监督评价与纠正、信息交流与反馈等内部控制要素的评价。
效果评价是对内部控制主要目标实现程度的评价。
包括寿险公司8项指标(综合费用率、规模保费增长率、新业务标保增长率、续期交费率、短期业务两年平均赔付率、代理人品质(新单件均佣金、人均收入、留存率)、后援服务效率、客户投诉率);财产险公司6项指标(两年综合成本率、自留保费增长率、应收保费率、代理人质量(人均收入、留存率)、后援服务效率、客户投诉率)。
第三章内部控制过程评价
第一节内部控制环境
一、高级管理层责任
高级管理层负责实施董事会和上一级管理层制定的内部控制政策,对内部控制体系的充分性与有效性进行监测和评估;负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行,并采取措施纠正内部控制存在的问题。
高级管理层还应培育良好的内部控制文化,提高员工的风险意识和职业道德素质,建立通畅的内外部信息沟通渠道,确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。应重点关注:
(一)遵循民主性、公开性、效益性、科学性的原则,建立、健全决策系统,完善决策程序,避免、减少决策失误(司务会议、总经理办公会议、党委会议);
(二)建立统一的授权经营制度(明确各级管理者分管职责及权利履行);
(三)建立决策评估机制,实行决策责任人负责制度,对决策结果应有责任追究制度(建立量化考核指标);
(四)确保内部控制实施独立性(能否独立开展);
(五)确保总部内控政策得到严格执行(执行力度);
(六)分支机构内部控制政策制定(细化是否反映地区特点及现状)。
二、内部控制政策及目标
保险公司应在各项业务和管理活动中制定明确的内部控制政策和基本要求,并在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策,并体现对持续改进的要求。
在建立和评审内部控制目标时,应考虑法律法规、监管要求和其他要求,以及技术、财务、经营和风险相关方等因素,尤其应考虑监管部门的内部控制指标要求。
内部控制目标应可测量。有条件时,目标应用指标予以量化。特别应该考虑:
(一)与公司经营目标、发展战略的一致性;
(二)合规性(法律、法规、监管要求);
(三)内控侧重环节(销售、管理、服务);
(四)全员参与程度(传达、渗透、反馈);
(五)定期评价确保内控的适宜性和有效性;
(六)持续改进状况(特别对监管反馈意见的改进)。
三、组织结构
保险公司应建立分工合理、职责明确、报告关系清晰的组织结构,明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限,并形成文件予以传达。特别应考虑:
(一)建立相应的对部门、关键岗位员工的授权体系;
(二)必要的职责分离,以及横向与纵向相互监督制约关系;
(三)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定;
(四)明确关键岗位、特殊岗位、不相容岗位及其控制要求;
(五)建立关键岗位定期或不定期的人员轮换和强制休假制度。
内部审计部门应具有充分独立性、直接向上一级管理层负责,应有权获得公司的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率,以及对机构和业务的审计覆盖率,定期或不定期对内部控制的健全性和有效性实施检查、评价;高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改。
四、企业文化(诚信与道德观)
保险公司应培育健康的企业文化,对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性,引导员工树立合规意识和风险意识,提高员工职业道德水准,规范员工职业行为。应考虑到:
(一)企业文化的实施举措;
(二)企业文化实施效果评价;
(三)改进情况。
五、人力资源
保险公司应完善人力资源政策和程序,建立科学有效的激励约束机制,确保与风险和内部控制有关人员具备相应的能力和意识。应明确与风险和内部控制有关人员的适任条件,明确有关教育、工作经历、培训和技能等方面的要求,以确保相关人员的胜任。同时应制定并保持培训计划,以确保各级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。
保险公司应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理等日常人事管理做出详细规定,并充分考虑人力资源管理过程中的风险。重点考虑:
(一)人力资源政策完善、合规程度;
(二)员工考评量化标准及实施程度;
(三)员工培训状况;
(四)员工引进、选拔、晋升、辞退实施的合规状况。
第二节风险识别与评估
一、经营管理活动风险识别与评估
保险公司应建立和保持书面程序,以持续对各类风险进行有效的识别与评估。保险公司分支机构的主要风险包括信用风险、市场风险(含利率风险)、操作风险、产品定价风险(短期业务)、流动性风险、法律风险以及声誉风险等。
应识别并确定常规和非常规的业务和管理活动,通过识别这些活动中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围,特别应考虑计算机系统的运用可能带来的风险。
应依据法律法规、监管要求以及内部控制政策确定风险是否可接受,建立量化标准,以确定是否进一步采取措施。风险可接受时,应监测并定期评价,以确保其持续可接受;风险不可接受时,应制定控制措施。
保险公司对各类风险进行识别与评估时应充分考虑内部和外部因素。其中,内部因素包括组织结构的复杂程度、业务性质、机构变革以及员工的流动等;外部因素包括经济形势的波动、行业变动趋势等。当环境和条件发生变化时,应及时对风险进行再识别和再评估,以确保任何新的和以前未曾予以控制的风险得到识别和控制。
风险识别与评估应依据业务范围、性质和时限主动进行,评估风险的后果、概率和风险级别。应涵盖以下方面:
(一)销售(代理人管理、中介机构、产品建议);
(二)业务处理(承保、保全、理赔、客户服务、单证);
(三)财务处理(资金、资产、负债评估、与业务系统的匹配、凭证报表、费用等);
(四)信息系统(设备、数据、网络维护、安全控制);
(五)产品定价(损失率数据、分保、市场、合规);
(六)档案、印鉴(业务、财务、办公、真实性连续性与完整性、介质);
(七)信息披露(权限、渠道);
(八)人力资源(考核体系、薪酬制度、岗位描述);
(九)后勤保障(物资采购、安全保卫、公关宣传等);
(十)监管部门的评估(现场与非现场检查报告)。
二、法律法规、监管要求和其他要求的识别
保险公司应建立并保持识别和获取适用法律法规、监管要求和其他要求的程序,作为风险识别与评估、制订控制目标和控制方案的依据。保险公司应及时更新法律法规、监管要求和其他要求的信息,并将这些信息传达给相关员工和其他风险相关方。
三、内部控制方案
保险公司应制定内部控制方案,以控制已识别的不可接受风险。内部控制措施方案应包括以下内容:
(一)为实现对风险的控制而规定的相关职责与权限;
(二)控制的策略、方法、资源需求和时限要求;
(三)必要时的调整措施。
第三节 内部控制措施
保险公司应确定需要采取控制措施的业务和管理活动,依据所策划的控制措施或已有的控制程序对这些活动加以控制。
一、控制措施包括:
(一)管理层检查。包括下级部门定期报告(频率、渠道),内部控制措施的实施情况(反馈与改进方式),直接检查与评估、督促(方式及频率)等环节。
(二)审批与授权管理。包括不相容岗位授权管理、授权控制、越权的应急处理。
(三)作业控制。各职能管理部门对所辖员工作业状况的检查,对发现问题采取的纠正整改措施(过程、渠道、频次)、交叉检查核对(如财务与业务的交叉核对、业务部门理赔与承保、保全的核对)程序。
(四)实物控制。主要的控制措施包括保管制度、交叉核对、权限控制、岗位监督制度与合理性检查。
(五)文件控制。至少包括对职能部门、每一岗位的作业的描述、作业检查点及量化控制标准。
二、控制要点包括:
(一)重要业务作业通过计算机连续纪录、监督检查;
(二)对于可能的偏离,应建立并保持书面程序和要求,规定操作标准及审批备案要求;
(三)对于采购或外包的设施、设备、系统和服务中已识别的风险,应建立并保持控制程序,并将有关程序和要求通报供方,确保其遵守保险公司相关的控制要求。
三、计算机系统环境下的控制
保险公司应考虑计算机系统环境下的业务运行特征,建立信息安全管理体系,对硬件、操作系统和应用程序、数据和操作环境,以及设计、采购、安全和使用实施控制,确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。特别应关注计算机系统数据的备份安全管理(灾备体系)。
四、应急准备与处置
保险公司应建立并保持预案和程序,以识别可能发生的意外事件或紧急情况(包括计算机系统)。意外事件和紧急情况发生时,应及时做出应急处置,以预防或减少可能造成的损失,确保业务持续开展。
保险公司应评估其应急预案,特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况(包括事故、险情)的性质相适应。
第四节 监督评价与纠正
一、 内部控制绩效监测
保险公司分支机构应建立并保持书面程序,通过适宜的监测活动,对内部控制绩效进行持续监测。监测内容包括:
(一)内部控制目标实现程度;
(二)法律、法规及监管要求的遵循程度;
(三)事故、险情和其他不良的内部控制绩效的历史情况。
二、违规、险情、事故处置和纠正及预防措施
保险公司应建立并保持书面程序,对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定,包括:
(一)发现违规、险情、事故及时报告,必要时可越级报告;
(二)及时处置违规、险情、事故;
(三)制定纠正与预防措施,防止违规、险情、事故的发生和再发生,并与问题的大小和风险危害程度相一致;
(四)纠正与预防措施在实施之前应进行风险评估;
(五)实施并跟踪、验证纠正与预防措施;
(六)重大险情和事故的责任追究。
三、内部控制体系评价
保险公司应建立并保持书面程序,对内部控制体系实施评价,确保内部控制体系的充分性、合规性、有效性和适宜性。程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等,覆盖体系范围内的所有活动。
可根据评价结果确定内部控制水平的等级。被评价机构的管理者应采取措施消除违规原因,并验证所采取措施的效果。
评价应由与评价的活动无直接责任的人员进行,评价人员应具备相应的知识,能够胜任评价工作。评价内容包括:
(一)内控政策执行情况、目标达成情况;
(二)内控政策执行中的改进及其效果;
(三)事故、险情及其纠正;
(四)之前评估跟踪情况;
(五)评价结果及改进建议。
第五节 信息交流与反馈
一、交流与沟通
保险公司应建立并保持信息交流与沟通的程序,明确对财务、业务、信息系统、销售、客户服务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。
保险公司应识别其内部和外部的风险相关方,考虑他们的要求和目标,建立与这些相关方进行信息交流的机制,确保:
(一)高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息;
(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序;
(三)险情、事故发生时,相关信息能得到及时报告和有效沟通;
(四)及时、真实、完整地向监管机构和外界报告、披露相关信息。
信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。为保持信息交流沟通的可追溯性,必要时,应保持相关信息交流与沟通的记录。
二、内部控制体系对文件、记录的要求
建立和保持文件化体系是实现信息交流与反馈的重要途径。保险公司应建立并保持必要的内部控制体系文件,包括:
(一)对内部控制体系要素及其相互作用的描述;
(二)内部控制政策和目标;
(三)每一部门、岗位职责与权限、达成标准、评价结果;
(四)不可接受的风险及其预防和控制措施;
(五)控制程序、作业指导、方案和其他内部文件。
三、文件控制
保险公司应建立并保持书面程序,以确保内部控制体系所要求的文件满足下列要求:
(一)易于查询;
(二)实施前得到授权人的批准;
(三)必要时予以修订并由授权人员确认其适宜性;
(四)所有相关岗位都能得到有效版本;
(五)失效时,及时从所有发放处和使用处收回,防止误用;
(六)及时识别、处置外来文件并进行标识,必要时转化为内部文件;
(七)留存的档案性文件和资料应予以适当标识。
保险公司应建立并保持书面程序,以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。记录应保持清晰、易于识别和检索,以提供符合要求和内部控制体系有效运行的证据,并可追溯到相关的活动。
第六节评价程序和方法
内部控制评价程序一般包括评价准备、评价实施、评价报告形成和反馈等步骤。
一、评价准备
组成评价组。评价组应考虑组成人员的背景和能力。必要时,可聘请业务或管理方面的专家。
制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。
准备必要的工作文件。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。
在现场评价前应先与被评价机构建立初步联系,以便确认有关评价事项和安排。
二、评价组织与实施
保监局负责对辖区保险公司不同层次分支机构的评价,每三年一个评价周期,每年至少覆盖三分之一以上的分支机构。
当保险公司发生管理层重大变动、重大的并购或处置、重大的营运方式改变、业务财务信息处理方式改变,保监局认为必要时,可以对保险公司内部控制实施评价。
评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排,通过适当的方法收集与评价目的、范围和准则有关的信息,根据评价方案对被评价项目进行测试,对有关数据进行确认和分析,并予以记录。包括:
(一)了解内部控制体系。应了解被评价机构内部控制体系的基本情况,确认评价范围,确定被评价机构的内部控制体系的健全程度,然后决定实施测试所采取的方法。主要通过询问、查阅、观察、流程图等方法进行,以初步评价被评价机构内部控制体系的充分性和合规性。
(二)实施测试和分析。实施测试和分析是在了解内部控制体系的基础上,评价内部控制体系的运行与绩效。具体可以采取符合性测试和指标分析等,其中,对内部控制过程评价主要采取符合性测试法;对内部控制结果评价,主要采取指标分析法。
符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性,即相关规定在实际中是否被一贯执行,控制措施能否达到控制目的,控制措施是否恰当。符合性测试分为两种形式:
1、业务测试。即对重要业务或典型业务进行测试,按照规定的业务处理程序进行检查,确认有关控制点是否符合规定并得到认真执行,以判断内部控制的遵循情况。
2、功能测试。即对某项控制的特定环节,选择若干时期的同类业务进行检查,确认该环节的控制措施是否一贯或持续发挥作用。
符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和压力测试法等。
三、评价报告形成
评价组根据评价实施情况,撰写评价报告,应重点分析以下方面:
(一)被评价机构内部控制体系现状、存在问题及趋势分析;
(二)同类公司比较;
(三)监管建议;
(四)可能的谅解因素。
四、评价反馈
对被评价机构内部控制体系进行综合评价后,应与被评价机构管理层沟通,以核对数据,确认事实,并就评价中的问题征求意见。
五、评分标准和评价等级
内部控制评价采取评分制。对内部控制的过程和结果分别设置一定的标准分值,并根据评价得分确定被评价机构的内部控制等级。
内部控制过程评价的标准分为500分,其中:内部控制环境100分、风险识别与评估100分、内部控制措施100分、信息交流与反馈100分、监督评价与纠正100分。上述五部分评价得分加总除以5,得到过程评价的实际得分。评价范围包括所有业务活动、管理和支持保障活动。具体评分标准如下:
(一)被评价对象的过程和风险已被充分识别的,可得该项分值的百分之二十;
(二)在满足前项的基础上,被评价项目的过程和对风险的控制措施被规定并遵循要求的,可得该项分值的百分之三十;
(三)在满足前两项的基础上,被评价项目的规定得到实施和保持,可再得该项分值的百分之三十;
(四)在满足前三项的基础上,被评价项目在实现风险控制的结果方面,控制措施有效且适宜的,可再得该项分值的百分之二十。
在测试过程中遇有业务缺项或问题不适用时,应将涉及到的分值在评价项目总分中扣减。为了保持可比性,在得出其余适用项的总分后,还应将该评价项目的总得分进行调整。
若涉及到需要采取抽样测试确定评价结论的,应根据以下情况确定:
1、如果在抽样范围内未发现违规,该项评价得满分;在抽样范围内,发现两项以上违规(含两项),该项评价不得分;仅发现一项违规的,应扩大一倍抽样,在扩大抽样范围内未发现新的违规的,可得该评价项目分值的50%,在扩大抽样范围内又发现新的违规的,该评价项目不得分。
2、发现险情或事故的,直接扣除该评价项目的分值。
第四章内部控制效果评价
内部控制的效果评价。结果评价主要评价内部控制目标的实现情况,对这些指标的量化评价可以通过非现场的方式进行。结果评价主要包括:
寿险公司分支机构8项评价指标:综合费用率、规模保费增长率、新业务标保增长率、续期交费率(13个月)、代理人质量(新单件均佣金、人均收入、留存率)、后援服务效率、客户投诉率。
财产险公司分支机构6项评价指标:两年综合成本率、自留保费增长率、应收保费率、代理人质量(人均收入、留存率)、后援服务效率、客户投诉率。
指标说明及控制比例详见附件1、2。内控结果评价指标的标准分值为100分*指标数,转化为百分制后得出实际得分。
保监局可以根据保险公司整体风险情况、经济金融政策的变化以及监管部门工作的重点,补充、修订或调整有关评价指标及评分值。
第五章内部控制评级与评级管理
根据内部过程评价和效果评价确定内部控制体系的最终得分。其中过程评价的权重为70%,效果评价的权重为30%。
根据内部控制最终得分确定被评价机构的内部控制评价等级,评级确定标准:
A级:最终得分90分以上(含)。指被评价机构内控体系健全,对风险充分识别和控制,内控制度得到全面有效的实施,经营效果显著。
A- 级:最终得分80--89分。指被评价机构内控体系比较健全,对主要风险充分识别和控制,内控制度得到较全面有效的实施,经营效果较好。
B级:最终得分70—79分。指被评价机构内控体系一般,对重要风险充分识别和控制,内控制度得到实施,但缺乏连续性和系统性,经营效果一般。
B- 级:最终得分60—69分。指被评价机构内控体系较差,对风险未充分识别和控制,内控制度实施欠缺或无效,管理环节存在隐患,经营效果差。
C级:最终得分60分以下。指被评价机构内控体系极差,内控制度体系存在严重缺失或内部控制措施明显无效,管理环节存在重大隐患,业务经营失控。
保监局根据保险公司分支机构内部控制评级结果,可以对其实施分类监管。对于内控体系评价最终得分在90分以上的公司,被认为内控体系稳健,无需采取监管措施;针对被评价机构内部控制存在问题的性质及严重程度,可分别采取以下一项或多项监管措施:
(一)约见被评价机构主要负责人监管谈话,限期提交整改方案;
(二)就评价对象内部控制体系存在问题可能引发的风险,予以提示与警告;
(三)要求被评价机构对内控体系存在的问题限期整改;
(四)加大现场检查力度和频率;
(五)延缓批准或拒绝受理增设分支机构;
(六)建议调整管理层。
对于内部控制评价中发现的违法、违规行为,将根据有关规定,采取相应处罚措施。
本评级办法及评级结果,仅限于监管机关和评价对象知悉,任何单位和个人不得对外公布,违者将追究相关人员责任。
本办法由保监局负责解释与修订。
本办法自2005年7月1日起施行。
附件:1、寿险公司分支机构评价效果指标
2、财产险公司分支机构评价效果指标
附件1:寿险公司分支机构评价效果指标
效果指标评分值标准值实际值关系比率实际得分
综合费用率10030%
保费增长率100同期辖区增长率
标保增长率100同期行业增长率
续期交费率10090%
短险赔付率10065%
新单件均佣金30同期辖区平均值
人均收入40同期辖区平均值
代理人品质
1、留存率(13个月) 3050%
2、后援服务效率 100行业标准
3、客户投诉率100行业标准
附件2:财产险公司分支机构评价效果指标
效果指标评分值标准值实际值关系比率实际得分
综合成本率10098%
保费增长率100同期辖区增长率
应收保费率10010%
代理人品质
1、人均收入60同期辖区平均值
2、留存率(13个月) 4050%
后援服务效率 100行业标准
客户投诉率100行业标准